Decalogo per la protezione del nostro modem/router

Il router è un dispositivo elettronico che, nelle reti a commutazione di pacchetto (qual è Internet), si fa carico di instradare i pacchetti dati (routing) verso la giusta destinazione mettendo in comunicazione fra di loro differenti reti.

Esistono centinaia di modelli di router: da quelli utilizzati in ambito domestico o professionale a quelli che vengono utilizzati presso i provider o dalle grandi società di telecomunicazioni.

I router comunemente utilizzati in ambito aziendale e domestico integrano spesso funzionalità di modem e access point Wi-Fi: questi dispositivi, quindi, si occupano di instradare i pacchetti dati all'interno della rete locale usando indirizzi IP privati sia per ciò che concerne il collegamento di dispositivi client sulle porte ethernet, sia per quelli collegati via Wi-Fi.

Ma come proteggere il router in maniera adeguata difendendo allo stesso tempo i sistemi connessi in rete locale ed i dati in essi conservati?

Proteggere router da intrusioni ed attacchi

Proteggere il router in modo adeguato significa mettersi al riparo da attacchi che possono rappresentare una minaccia per la sicurezza dei propri dati e per il proprio portafoglio.

Sono sempre più frequenti le segnalazioni di modelli di router che contengono vulnerabilità di sicurezza. In questi casi, il router può diventare amministrabile da remoto da parte di un malintenzionato.

Uno degli attacchi più gettonati si chiama DNS hijacking ed è utilizzato dagli aggressori remoti per modificare gli indirizzi dei server DNS configurati sul router.

Si tratta di un attacco veramente pericoloso perché di fatto porta tutti i sistemi client della rete locale connessi al router ad utilizzare server DNS malevoli impostati dai criminali informatici.

Risultato? Gli utenti collegati in rete locale, da qualunque dispositivo, riterranno di visitare il vero sito web di una banca, di un social network, di una società che si occupa della gestione elettronica delle transazioni, dell'account di posta elettronica, in effetti nella barra degli indirizzi del browser apparirà l'indirizzo corretto, quando in realtà, si staranno visitando pagina malevole allestite da gruppi di criminali informatici con il preciso scopo di sottrarre credenziali d'accesso ed altri dati personali.

Come difendersi da questo tipo di problema? L'aggiornamento del firmware è il passaggio più consigliato.

Aggiornare il firmware del router

Una delle operazioni più efficaci per proteggere il router e scongiurare potenziali intrusioni da remoto (i criminali informatici sono soliti effettuare scansioni periodiche di gruppi di IP pubblici con l'obiettivo di individuare router vulnerabili e, di conseguenza attaccabili) consiste nell'applicare eventuali aggiornamenti del firmware.

Per aggredire un router è possibile utilizzare diverse modalità d'attacco. A seconda delle specifiche vulnerabilità individuate nelle versioni del firmware dei vari prodotti, non è indispensabile che la funzionalità di gestione remota del router sia stata abilitata.

La miglior soluzione per mettersi al riparo consiste nel verificare la disponibilità di aggiornamenti del firmware sul sito web del produttore del router.

Si osservi bene la data di rilascio del firmware e il cosiddetto changelog, ossia la lista delle migliorie e delle modifiche introdotte nelle varie versioni del firmware.

Disattivare la gestione remota

Tutti i router consentono generalmente di essere gestiti da remoto. Quindi un utente estraneo, potrebbe collegarsi all'interfaccia di amministrazione, prenderne il controllo ed effettuare eventuali variazioni.

Il consiglio è quello di mantenere disattivata la gestione remota del router collegandosi al pannello di amministrazione da browser e disabilitare la funzionalità.

Disabilitare le risposte ICMP

È bene che il router non offra alcun indizio circa la sua effettiva connessione alla rete Internet.

Lanciando il comando PING seguito dall'IP pubblico assegnato dinamicamente od in maniera statica al router dall'operatore di telecomunicazioni, il router non dovrebbe possibilmente fornire risposta.

Così facendo, il router sarà di fatto "invisibile" ad utenti terzi che tentassero di verificarne la presenza in rete.

L'abilitazione dello SPI firewall (ovvero stateful packet inspection firewall) dal pannello del router consentirà di disabilitare la risposta al comando PING. In ogni caso, l'eventuale casella ICMP dovrà essere disabilitata in corrispondenza di Remote e lasciata attiva solo per Local.

In questo modo, il router risponderà solamente alle richieste PING inviate dai sistemi connessi in rete locale e non da sistemi remoti (WAN).

Usare le Access Control List (ACL)

Alcuni modelli di router permettono l'utilizzo delle ACL, acronimo di Access Control List.

Si tratta di un meccanismo di sicurezza che consente di stabilire a quali utenti è accordato l'accesso al pannello di amministrazione.

Ove disponibili, le ACL permettono di fidare su di una misura di sicurezza in più. Consentendo ad esempio l'accesso all'IP 0.0.0.0 e selezionando LAN (quindi né LAN/WAN né WAN) si farà in modo che solamente i sistemi connessi alla rete locale abbiano titolo per connettersi al pannello di amministrazione del router.

Cambiare la password predefinita del router

Un'altra importante misura di sicurezza che non bisogna mai dimenticare di applicare, anzi la prima operazione da effettuare al primo accesso, consiste nel modificare la password di default del router. Di solito, infatti, per accedere al pannello di configurazione del router, è sufficiente digitare la coppia nome utente e password admin password, oppure admin admin, oppure admin 1234.

Proteggere la connessione Wi-Fi

Un altro aspetto da non sottovalutare consiste nella corretta configurazione della connessione Wi-Fi. Se, infatti, il router funge anche da access point Wi-Fi, è bene proteggere adeguatamente l'accesso alla rete wireless.

Innanzi tutto, se il router dispone di due interfacce ossia può consentire la connessione di dispositivi sia sulle frequenze dei 2,4 GHz che su quelle dei 5 GHz, è bene disattivare l'interfaccia che si prevede di non utilizzare.

Sia nel caso in cui si decidesse di utilizzare entrambe le bande od una soltanto, bisognerà accertarsi di proteggere adeguatamente la connessione Wi-Fi abilitando l'utilizzo dell'algoritmo a più elevata sicurezza che il router ci consente di configurare.

Ove possibile, è consigliabile predisporre una rete Wi-Fi per gli utenti ospiti ossia per coloro che avessero necessità di collegarsi temporaneamente via wireless ad internet.

Disattivare l'utilizzo di WPS

Tutti i router di più recente fattura offrono la possibilità di servirsi di WPS (Wi-Fi Protected Setup), funzionalità che permette di configurare automaticamente la connessione wireless senza digitare alcuna password.

Tuttavia, un attacco "brute force" può consentire di accedere ad una rete Wi-Fi protetta in tempi relativamente brevi. Ogni volta che un dispositivo cerca di collegarsi via WPS, il router invia un messaggio col quale il dispositivo viene informato se le prime quattro cifre del PIN sono corrette o meno.

Poiché lo standard WPS, com'è facile verificare dall'interfaccia di amministrazione del router, usa un PIN da otto cifre e che l'ultima viene usata come checksum, anziché dover gestire 100 milioni di combinazioni (108), un aggressore, per violare la rete Wi-Fi facente uso di WPS, dovrebbe effettuare massimo 11.000 tentativi (104 sommato a 103).

Il consiglio, quindi, è quello di disattivare completamente la funzionalità WPS dal pannello di configurazione del router, con l'obiettivo di proteggere il dispositivo stesso e la rete locale da attacchi provenienti dall'esterno.

Attenzione al forwarding delle porte

I criminali informatici, come accennato in precedenza, effettuano una scansione di ampi gruppi di indirizzi IP pubblici anche alla ricerca di eventuali porte aperte sul router.

Se, agendo sul pannello di amministrazione del router, si fosse deciso di inoltrare il traffico in ingresso su una determinata porta verso una o più macchine connesse in rete locale, bisognerà accertarsi che il componente server in esecuzione sui vari sistemi collegati in LAN sia sicuro, correttamente configurato e che non presenti vulnerabilità.

 

Oppure hai ancora dubbi e semplicemente vuoi approfondire l'argomento? Contattami liberamente, senza alcun impegno, per un preventivo gratuito di consulenza personalizzata.

Nella sessione studiata su misura per te sarò a tua completa disposizione fornendoti risposte chiare, immediate e precise.

Consulenze telefoniche o per posta elettronica prevedono un costo.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.
Categoria: Reti e intranet
Articolo pubblicato sulle seguenti testate:
Alessio Arrigoni - CONSULENTE INFORMATICO
POSTA: info@alessioarrigoni.it
PRIVACY | P.I. 02752540134